CNAPP (Cloud-native Application Protection Platform)

Was ist CNAPP (Cloud-native Application Protection Platform)?

Eine Cloud-native Application Protection Platform (CNAPP) ist ein Softwareprodukt, das mehrere Cloud-Sicherheitstools in einem Paket bündelt und so einen ganzheitlichen Ansatz für die Sicherung der Cloud-Infrastruktur eines Unternehmens, seiner Cloud-nativen Anwendungen und seiner Cloud-Workloads bietet.

Diese Plattform vereint verschiedene Sicherheitsfunktionen, die vor der Einführung von CNAPP nur stückweise über einzelne Softwareprodukte bereitgestellt wurden.

Die verschiedenen CNAPP-Komponenten bieten eine Reihe von Sicherheitsfunktionen, von der Überwachung, Erkennung und Reaktion auf Schwachstellen und Bedrohungen bis zur Analyse, Automatisierung, Aktivierung und Optimierung der Sicherheitsrichtlinien und -verfahren des Unternehmens.

CNAPP unterstützt auch die Zusammenarbeit von IT- und Sicherheitsbehörden in Form von DevSecOps-Teams, um die Sicherheit bereits in den frühesten Phasen der Anwendungsentwicklung zu berücksichtigen - ein Ansatz, der als „shift left“ bekannt ist. Dieser Ansatz beruht auf der Überzeugung, dass durch die Verlagerung von Sicherheitsüberlegungen sowie von Tests, Qualitäts- und Leistungsbewertungen in frühere Phasen des Softwareentwicklungszyklus ein sichereres und kostengünstigeres Produkt entsteht.

Nach Ansicht von Technologie- und Software-Marktanalysten liegt der größte Vorteil von CNAPP darin, dass es diese vielfältigen Funktionen auf integrierte Weise bereitstellt.

Aus diesem Grund kann CNAPP anstelle mehrerer anderer Cloud-Sicherheitssoftwareprodukte verwendet werden. Analysten zufolge reduziert dies die Sicherheitskomplexität und bietet gleichzeitig die wichtigen Funktionen und Dienste, die Sicherheitsteams benötigen, um die Cloud-Umgebung ihres Unternehmens und die darin laufende Software zu schützen.

Der von Microsoft in Auftrag gegebene und von der Cloud Security Alliance (CSA) durchgeführte „Cloud Native Application Protection Platform Survey Report 2023“ ergab, dass 75 Prozent der Unternehmen CNAPPs nutzen oder planen, dies zu tun.

Die Vorteile von CNAPP

Die Ergebnisse des CSA-Berichts zeigen, dass viele Unternehmen Probleme mit der Sicherung ihrer Cloud-Umgebungen haben. In dem Bericht wird insbesondere Folgendes festgestellt:

• 32 der Unternehmen haben Schwierigkeiten, Sicherheitsverbesserungen zu priorisieren, weil sie zu viele und oft falsche Informationen aus Warnmeldungen erhalten.
• Nur 35 Prozent haben die Sicherheit in ihre DevOps-Praktiken integriert - wenngleich 51 Prozent der Unternehmen dabei sind, dies zu tun.
• Außerdem nennen 22 Prozent den Mangel an Personal als große Herausforderung.

CNAPP ist sicherlich kein Allheilmittel - das ist kein Sicherheits-Tool -, aber Analysten glauben, dass CNAPP zahlreiche Vorteile bieten kann. Erstens kann es die Komplexität und den Umfang der Arbeit von Sicherheitsteams reduzieren, indem es ihnen ein einziges Tool statt vieler zur Verfügung stellt, um eine Reihe von Sicherheitsanforderungen zu erfüllen. Zweitens kann diese Vereinfachung der Sicherheits_Tools Zeit und Geld sparen, das die Sicherheitsteams wieder in andere Sicherheitsanforderungen investieren können.

Durch die Konsolidierung von Sicherheitsmerkmalen und -funktionen, die zuvor von verschiedenen Softwareprodukten bereitgestellt wurden, bietet CNAPP dem Sicherheitsteam eine einheitliche Sicht auf die Sicherheitsrisiken und -anforderungen in der gesamten Cloud-Umgebung eines Unternehmens, einschließlich IaaS, PaaS und serverlosen Workloads. Diese einheitliche Ansicht reduziert die Wahrnehmungslücken, die entstehen, wenn Sicherheitsteams unterschiedliche Tools verwenden. Darüber hinaus kann diese verbesserte Sichtbarkeit dazu beitragen, dass Sicherheitsprobleme schneller erkannt und behoben werden.

Zusammengenommen kann CNAPP Sicherheitsteams dabei helfen, ihre allgemeine Sicherheitslage zu verbessern.

CNAPP-Komponenten und -Funktionen

Obwohl die Funktionen und Merkmale von Anbieter zu Anbieter variieren, vereinen CNAPPs in der Regel Komponenten, die eine Reihe von Fähigkeiten bieten, wie beispielsweise die folgenden:

CSPM (Cloud Security Posture Management), das zur Erkennung von Fehlkonfigurationen und Compliance-Risiken in der Cloud eingesetzt wird und die Cloud-Infrastruktur auf Lücken bei der Durchsetzung von Sicherheitsrichtlinien überwacht. CSPM-Tools bieten auch eine automatische Erkennung und Behebung von Bedrohungen in den verschiedenen Cloud-Ressourcen, einschließlich der IaaS-, PaaS- und SaaS-Systeme eines Unternehmens. Entsprechende Lösungen automatisieren auch die Durchsetzung der Sicherheitsrichtlinien und Compliance-Frameworks eines Unternehmens.

CWPP (Cloud Workload Protection Platform). Diese Lösungen unterstützen die Sicherheit in einer Multi-Cloud-Umgebung und in einer Cloud-Umgebung mit öffentlichen, privaten und hybriden Cloud-Plattformen. CWPPs erkennen Workloads im Unternehmen und scannen sie auf Sicherheitsprobleme. Außerdem bieten sie zusätzliche Funktionen wie Laufzeitschutz und Netzwerksegmentierung.

Software für die Verwaltung von Cloud-Infrastruktur-Berechtigungen (CIEM, Cloud Infrastructure Entitlement Management), die das Berechtigungsverwaltungsprogramm eines Unternehmens unterstützt und automatisiert. CIEM identifiziert und meldet, welche Benutzer die Berechtigung haben, auf welche Teile der Cloud-Infrastruktur des Unternehmens zuzugreifen. CIEM stellt sicher, dass Benutzer, egal ob Mensch oder Maschine, nur auf die Cloud-Infrastruktur zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen - ein Ansatz, der als Prinzip der geringsten Privilegien bekannt ist. Als solches ist CIEM eine Komponente des Identitäts- und Zugriffsverwaltungsprogramms (IAM) eines Unternehmens und ermöglicht einen Zero-Trust-Sicherheitsansatz.

Die Netzwerksicherheit von Cloud-Diensten wird unter anderem durch die Web Application Firewalls (WAF), den Schutz von Webanwendungen und APIs, den Schutz vor verteilten Denial-of-Service-Angriffen, das Load Balancing und die Prüfung der Transportschichtsicherheit gewährleistet. All diese Funktionen helfen bei der Erkennung von Bedrohungen und deren Abwehr in den dynamischen Netzwerkperimetern, die in Cloud-Umgebungen von Unternehmen existieren.

Zu den zusätzlichen Funktionen von CNAPP gehören Segmentierung, Infrastructure-as-Code-Scanning, KI-gestützte Automatisierung der Regelanwendung und -durchsetzung sowie Kubernetes Security Posture Management.

Alternativen zu CNAPP für Cloud-Sicherheit

Security-Analysten und -Forscher sowie Sicherheitsverantwortliche und -berater in Unternehmen sind sich im Allgemeinen einig, dass ein umfassender, integrierter Sicherheitsansatz erforderlich ist, unabhängig davon, ob es sich um die IT vor Ort oder um Cloud-Ressourcen handelt. Sie plädieren auch dafür, Automatisierung und Intelligenz so weit wie möglich einzusetzen, um menschliche Fehler und Irrtümer zu reduzieren sowie die Einhaltung von Vorschriften, Geschwindigkeit und Reaktionsfähigkeit zu verbessern. Viele befürworten den Einsatz von CNAPP gegenüber der Verwendung unterschiedlicher Sicherheitstools.

Dennoch sollten Unternehmen die potenziellen Herausforderungen der CNAPP-Implementierung berücksichtigen. CNAPP-Produkte bieten unterschiedliche Funktionen, und einige haben Stärken, die andere nicht haben. Der CNAPP-Markt ist derzeit noch nicht vollständig entwickelt.

Einige Unternehmen stellen unter Umständen fest, dass die bereits vorhandenen Cloud-Sicherheitstools ausreichenden Schutz bieten oder dass ihre Umgebung nicht groß oder komplex genug ist, um einen Wechsel von bestehenden Cloud-Sicherheitsprodukten zu einer neuen Plattform zu rechtfertigen. Dennoch weisen viele Sicherheitsexperten auf CNAPP als die bessere Wahl für die Verteidigung und den Schutz von Cloud-Umgebungen in Unternehmen hin.